《0103鉴权管理重点》由会员分享,可在线阅读,更多相关《0103鉴权管理重点(20页珍藏版)》请在金锄头文库上搜索。
1、HUAWEI HLR9820操作手册用户管理分册目录3鉴权管理3-13.1鉴权功能概述3-23.1.1 GSM 鉴权 3-23.1.2 UMTS 鉴权 3-43.2 设置K4 3-63.2.1 增力廿K4 3-63.2.2 校验K4 3-73.3 设置OP 3-83.3.1 增力廿OP 3-83.4 设置KI 3-83.4.1单用户加载KI 3-93.4.2 校验KI 3-10修改卡参数 3-11文档版本 01 (2007-07-20)华为技术有限公司#HUAWEI HLR9820操作手册用户管理分册插图目录插图目录图3-1 GSM鉴权原理图3-3图3-2 UMTS鉴权原理图 3-4文档版本
2、01 (2007-07-20)华为技术有限公司#HUAWEI HLR9820操作手册用户管理分册表格目录表格目录表3-1增加 K4参数说明 3-7表3-2校验 K4参数说明 3-7表3-3增加 OP参数说明 3-8表3-4单用户加载 KI参数表 3-9表3-5校验用户 KI参数表 3-10表3-6修改卡参数的参数表 3-11文档版本 01 (2007-07-20)华为技术有限公司#HUAWEI HLR9820操作手册用户管理分册3鉴权管理文档版本 01 (2007-07-20)华为技术有限公司3-#HUAWEI HLR9820操作手册用户管理分册3鉴权管理关于本章3鉴权管理标题内容3.1鉴权功
3、能概述本节分别对GSM鉴权和UMTS鉴权加以说明。3.2设置K4本节主要介绍如何设置K4。3.3设置OP本节主要介绍如何设置 OP。3.4设置KI本节主要介绍如何设置KI。本章描述内容如下表所示。文档版本 01 (2007-07-20)华为技术有限公司3-#HUAWEI HLR9820操作手册用户管理分册3鉴权管理SMU Client实现对用户的鉴权本章在简要介绍鉴权基本概念的基础上,说明了如何在 管理,主要包括设置 K4和设置KI的相关操作。3.1鉴权功能概述在GSM网络和UMTS网络中,鉴权是由 MS/UE、VLR/SGSN、HLR/AuC 协同工作完 成,都是由MS/UE和AuC分别计算
4、出鉴权参数,由VLR/SGSN比较双方的计算结果,完成网络对 MS/UE合法性的验证。UMTS增加了 MS/UE对网络合法性的验证功能,从而实现MS/UE与网络双向认证。HLR 鉴权功能包括 GSM 鉴权和 UMTS ( Universal Mobile Telecommunications System ) 鉴权。以下就这两类鉴权功能分别加以说明。3.1.1 GSM 鉴权GSM鉴权概述GSM鉴权功能用以决定用户是否有权接入PLMN网络。通过比较 MS提供的鉴权响应和AuC提供的鉴权三元组之间是否一致进行判断的,通过鉴权,可以防止非法用户使 用网络提供的服务。GSM鉴权参数鉴权三元组鉴权三元组
5、,GSM用于用户鉴权的三个主要参数组成的向量,包括:-RAND ( Random Challenge)由随机数发生器产生,长 16B,主要作为计算三元组中其他两个参数的基础。-SRES( Signed Response)RAND和Ki用A3算法计算得出,长 4B,用来判断鉴权是否通过。-Kc ( Cipher Key)RAND和Ki用A8算法计算得出,长 8B,用于空中无线信道加密的密钥。MS中SIM卡和AuC中存贮的信息-SIM卡中:固化数据:IMSI,Ki,A3和A8 (鉴权算法)。这些内容不会更改。临时的网络数据: TMSI,LAI,Kc, CKSN,被禁止的 PLMN业务相关数据-Au
6、C 中:用户数据(IMSI,用来对移动签约者身份进行识别);鉴权密钥Ki (注意:该值与用户 SIM卡上的Ki值是一致的);密码密钥(即密钥 K4): K4是Ki的密钥,用来对 Ki进行加密和解密,长度 为8B。密钥序号:是K4的索引(数据库中的外密钥),用来获取K4,若其值为0, 表明Ki没有用K4加密(即当前的 Ki值为解密后的值)。安全算法(A3和A8):用于产生加密和鉴权。GSM鉴权原理AuC的基本功能是产生三元组( RAND、SRES、Kc),其中:RAND由随机数发生器产生;SRES由RAND和Ki用A3算法得出;Kc由RAND和Ki用A8算法得出。三元组产生后存于 HLR中。当需
7、要鉴权时,由 MS所在服务区的 MSC/VLR从HLR 中装载至少一套三元组为此MS/UE服务。鉴权的原理如图3-1所示。图3-1 GSM鉴权原理图HLR/AUCSIMHLRVLR鉴权请求A8 A3RANDKC512SIM卡(IMSI、 KI)A3、A8( A5)临 时 数 据制卡中心(IMSI、KI)、A8(A5)(IMSI) KI .CKSN” RANDCK -SRES SRES BSSIMSI(n)KI(n)IMSI(n)KI(n)AUCKI(IMSI)RAND发生器A8 A3J1 /RANDKCSPESRANDKCXRESRANDKCXRESKCKCRANDKCXRESIMSI缓冲器检
8、验是否相符文档版本 01 (2007-07-20)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理文档版本 01 (2007-07-20)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理KI(IMSI)+RANDA3SRESKI(IMSI)+RANDA8KC*RAND16byteM+KCA5KCKI16byte(MS/BSS)kc8byteA5SERS4byteKC(M)+KCCKSN(MS/BSS)1byte 中低3位3.1.2 UMTS 鉴权UMTS鉴权概述与GSM鉴权相比,UMTS鉴权不但有网络鉴权用户的功能,还增加了用户鉴
9、权网络的 功能和完整性保护功能。另外 UMTS鉴权增加了密钥的长度,使用更加安全的加密算 法和完整性算法。UMTS鉴权参数为 UMTS鉴权向量五元组Quintet): RAND,XRES (Expected userResponse), CK , IK (Integrity Key ), AUTN 一个UMTS鉴权向量,即(RAND , XRES ,(Authentication Token );这五个元素组成 CK , IK , AUTN )。文档版本 01 (2007-07-20)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理文档版本 01 (2007-0
10、7-20)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理鉴权的原理如图3-2所示。图3-2 UMTS鉴权原理图USIMCKAUTNXMACAUTNBSSOPCRAND gen eratorSQN gen eratorCampare the valuesIMSI(n) OPC(n) Kl(n)OPC KICard-making cneter ( IMSI, KI)USIM card (IMSI, KI)f1 f2 f3 f4 f5f1 f2 f3 f4 f5HLR/AUCVLRAUCHLRf1IMSI( n) OPC( n)Kl(n)MACAMFAMFI 甲 c
11、p qpCKAKMAC XRESIMSI BufferRANDXRESCKIKAUTN1randXRESCKIKAUTNRANDXRESCKIKAUTN5CKTemporary dataAuthen ticati onrequestAUTNIK KSIi- RAND -CK- XRES RESRAND |-RANDAMFAKSQNf34f2MACIBMIBMCampare the valuesRES-,文档版本 01 (2007-07-20)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理文档版本 01 (2007-07-20)华为技术有限公司#-3HUAWEI
12、 HLR9820操作手册用户管理分册3鉴权管理RAND 16 bytesXRES 4-16 bytesCK 16 bytesAV := RAND | XRES | CK | IK | AUTNAUTN := SQN ? AK | AMF | MACVerify MAC = XMACKI 16 bytesAUTN 16 bytesUMTS鉴权参数UMTS鉴权参数说明-RANDRAND是网络提供给UE的不可预知的随机数,UE用它来计算鉴权响应参数RES (或 RES+RES_EXT )及安全保密参数 IK、CK。RAND 长度为 16 octets。-AUTN文档版本 01 (2007-07-20
13、)华为技术有限公司#-3HUAWEI HLR9820操作手册用户管理分册3鉴权管理AUTN的作用是提供信息给 UE,使UE可以用它来对网络进行鉴权。AUTN的长度为16octets。-XRESXRES是期望的UE鉴权响应参数。用于和 UE产生的RES (或RES+RES_EXT )进行比较,以决定鉴权是否成功。XRES的长度为4 octets16octetso-CKCK为UMTS的加密密钥。 CK长度为16 octetso-IKUMTS的完整性保护密钥,长度为 16 octetsoUMTS鉴权相关的其他参数:-AUTSAUTS作用是给网络提供必要的信息以启动再鉴权流程。当MS/UE返回鉴权失败且失败原因为“同步失败”时,带有此参数。AUTS的长度为14 octetso-SQN (Sequenee number)计算 MAC 值和 AUTN 时,需要用 SQN。USIM 和 HE(Home Environment)保存 了计数器SQNMS和SQNHE,这个计数器是用来网络鉴权的。系列号 SQNHE 对每个用户而言都
